2026年信息安全保障人员认证（CISAW）考试题库（附答案和详细解析）（0103）.docxVIP

信息安全保障人员认证（CISAW）考试试卷

一、单项选择题（共10题，每题1分，共10分）

以下哪项是ISO27001信息安全管理体系（ISMS）的核心框架？

A.PDCA循环（计划-实施-检查-改进）

B.SWOT分析（优势-劣势-机会-威胁）

C.PEST模型（政治-经济-社会-技术）

D.KANO模型（基本需求-期望需求-兴奋需求）

答案：A

解析：ISO27001采用PDCA循环作为ISMS的持续改进框架，强调通过计划（Plan）、实施（Do）、检查（Check）、改进（Act）实现体系的动态优化。B是战略分析工具，C是宏观环境分析模型，D是需求分类模型，均与ISMS无关。

我国网络安全等级保护2.0标准中，第一级信息系统的保护要求是？

A.自主保护级

B.指导保护级

C.监督保护级

D.强制保护级

答案：A

解析：等保2.0将信息系统分为五级，第一级为自主保护级（用户自行管理），第二级为指导保护级（公安部门指导），第三级为监督保护级（重点监督），第四级为强制保护级（严格监督），第五级为专控保护级（极端重要）。

以下哪种访问控制模型通过角色分配权限，适用于组织内职责明确的场景？

A.自主访问控制（DAC）

B.强制访问控制（MAC）

C.基于角色的访问控制（RBAC）

D.基于属性的访问控制（ABAC）

答案：C

解析：RBAC（Role-BasedAccessControl）通过定义角色（如管理员、普通用户）并为角色分配权限，适用于职责清晰的组织。DAC由资源所有者自主授权，MAC由系统强制分配安全标签，ABAC基于用户属性（如部门、时间）动态授权，均不符合题意。

以下哪项属于主动攻击？

A.流量分析

B.窃听

C.重放攻击

D.截获数据

答案：C

解析：主动攻击涉及对数据的修改或伪造（如重放、篡改、拒绝服务），被动攻击仅获取信息（如窃听、流量分析）。C项重放攻击通过重复发送截获的数据包破坏可用性，属于主动攻击。

数据脱敏技术中，“将身份证号的中间8位替换为‘****’”属于哪种方法？

A.加密

B.匿名化

C.掩码

D.泛化

答案：C

解析：掩码（Masking）通过替换部分字符隐藏敏感信息（如身份证号、手机号）；匿名化是去除可识别身份的信息（如删除姓名）；加密需密钥还原；泛化是将精确值替换为范围（如“25岁”改为“20-30岁”）。

以下哪项是漏洞扫描与渗透测试的主要区别？

A.漏洞扫描需要授权，渗透测试不需要

B.漏洞扫描是自动化检测，渗透测试包含人工验证

C.漏洞扫描针对已知漏洞，渗透测试仅发现未知漏洞

D.漏洞扫描输出报告，渗透测试不输出报告

答案：B

解析：漏洞扫描主要通过工具自动化检测已知漏洞，渗透测试结合人工模拟攻击（包括已知和未知漏洞），需授权且输出详细报告。A错误（均需授权），C错误（渗透测试也覆盖已知漏洞），D错误（均需输出报告）。

以下哪种加密算法属于对称加密？

A.RSA

B.ECC

C.AES

D.SM2

答案：C

解析：对称加密（如AES、DES）使用相同密钥加密和解密；非对称加密（如RSA、ECC、SM2）使用公钥加密、私钥解密。C项AES是典型对称加密算法。

零信任架构的核心假设是？

A.网络内部是安全的

B.所有访问请求都不可信

C.设备身份无需验证

D.数据无需加密传输

答案：B

解析：零信任（ZeroTrust）的核心是“永不信任，始终验证”，假设网络内外均存在威胁，需对所有访问请求（用户、设备、应用）进行持续验证。A是传统边界安全的假设，C、D违背零信任原则。

以下哪项不属于《数据安全法》规定的重要数据？

A.人口健康数据

B.金融关键数据

C.企业内部会议记录

D.地理信息数据

答案：C

解析：《数据安全法》规定的重要数据包括关系国家安全、经济发展、公共利益的领域数据（如人口、金融、地理信息），企业内部非敏感会议记录不属于重要数据范畴。

以下哪种安全技术用于防止SQL注入攻击？

A.防火墙

B.入侵检测系统（IDS）

C.输入验证与参数化查询

D.反病毒软件

答案：C

解析：SQL注入攻击利用未过滤的用户输入执行恶意SQL代码，防范核心是输入验证（如白名单校验）和参数化查询（分离数据与代码）。A、B、D分别防护网络层、监测攻击、防范病毒，不直接针对SQL注入。

二、多项选择题（共10题，每题2分，共20分）

信息安全风险评估的主要步骤包括（）。

A.资产识别

B.威胁分析

C.漏洞检测

D.风险处置

答案：ABCD

解析：风险评估流程包括：资产识别（确定保护对象）、威胁分析（识别潜在威胁源）、漏洞检测（发现资产薄弱点）、风险计算（威胁×漏洞×影响）、风险处置（降低/转移/接受